Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Grenzüberschreitender Datenzugriff nach der E-Evidence-Verordnung in der EU

E-Evidence-Verordnung: Pflichten, Sanktionen und Verfahrenshebel für betroffene Unternehmen

Von

13 Min.

AUF EINEN BLICK

Die E-Evidence-Verordnung (EU) 2023/1543 verpflichtet ab dem 18. August 2026 Anbieter digitaler Dienste, elektronische Beweismittel auf eine Europäische Herausgabe- oder Sicherungsanordnung einer zuständigen Anordnungsbehörde eines am E-Evidence-Mechanismus teilnehmenden EU-Mitgliedstaats herauszugeben oder zu sichern. Für diese Datenzugriffe muss in vielen Konstellationen nicht mehr der klassische zwischenstaatliche Rechtshilfeweg beschritten werden. Verstöße gegen Benennungs-, Mitteilungs- oder Anordnungspflichten werden in Deutschland nach § 18 des Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetzes (EBewMG) als Ordnungswidrigkeit geahndet; das Sanktionsregime reicht je nach Pflichtverstoß bis zu festen Bußgeldhöchstbeträgen oder bis zu 2 % des maßgeblichen Jahresumsatzes. Für betroffene Unternehmen entsteht damit ein doppeltes Risiko: ein Sanktionsrisiko bei organisatorischen Pflichtverletzungen und ein strafprozessuales Risiko, weil herausgegebene Daten später zur Beweisgrundlage gegen Mitarbeiter, Organe oder das Unternehmen selbst werden können; zur IT-Beschlagnahme nach § 110 StPO im Einzelnen: IT-Beschlagnahme nach § 110 StPO im Unternehmen.

Die E-Evidence-Verordnung verschiebt eine Last, die bisher zwischenstaatlich organisiert war, auf private Unternehmen. Wo früher eine ausländische Behörde regelmäßig den deutschen Rechtshilfeweg beschreiten musste, kann die zuständige Anordnungsbehörde künftig für die erfassten Daten direkt anordnen. Das verändert nicht nur die Geschwindigkeit des Datenzugriffs, sondern auch die Rolle des Unternehmens: Aus dem bloßen Datenhalter wird ein verpflichteter Adressat — der das Sanktionsrisiko trägt, wenn er die kurzen Fristen verfehlt. Dieser Beitrag ordnet die Pflichten, die Sanktionsmechanik und die verbleibenden Verfahrenshebel aus strafverfahrensrechtlicher Sicht ein.

Was die E-Evidence-Verordnung regelt — und ab wann sie gilt

Die E-Evidence-Verordnung (EU) 2023/1543 schafft zwei grenzüberschreitende Anordnungsinstrumente und gilt unmittelbar in jedem Mitgliedstaat ab dem 18. August 2026. Die Verordnung führt die Europäische Herausgabeanordnung (EPOC) und die Europäische Sicherungsanordnung (EPOC-PR) ein, mit denen eine zuständige Anordnungsbehörde Daten direkt bei einem Diensteanbieter in einem anderen, am E-Evidence-Mechanismus teilnehmenden Mitgliedstaat anfordern kann. Sie wird flankiert von der Richtlinie (EU) 2023/1544 (Vertreterrichtlinie), deren Umsetzungsfrist am 18. Februar 2026 endete und die die organisatorische Anbindung der Anbieter sicherstellt. In Deutschland setzt das Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetz (EBewMG) das Paket um; es wurde als Artikel 1 des Gesetzes vom 10. März 2026 verkündet (BGBl. 2026 I Nr. 64). Die Vorschriften zur Umsetzung der Richtlinie gelten seit dem 13. März 2026; die Durchführungsvorschriften zur Verordnung treten am 18. August 2026 in Kraft. Das Bundesamt für Justiz fungiert als zentrale Behörde für die Entgegennahme von Mitteilungen und die Aufsicht über die Benennungspflichten.

Der persönliche Anwendungsbereich ist bewusst weit. Erfasst sind alle Anbieter elektronischer Kommunikationsdienste sowie Dienste der Informationsgesellschaft, die ihre Leistungen Nutzern in der EU anbieten — unabhängig vom Unternehmenssitz. Dazu zählen Cloud- und Hosting-Anbieter, SaaS-Unternehmen, Messenger, E-Mail-Dienste, Plattformen und Online-Marktplätze. Das Bundesministerium der Justiz schätzt den betroffenen Kreis auf rund 9.000 Unternehmen.

Welche Daten herausverlangt werden können — und unter welchen Voraussetzungen

Die Verordnung unterscheidet mehrere Datenkategorien mit abgestuften Eingriffsvoraussetzungen, definiert in Art. 3 Nr. 9 bis 12 VO 2023/1543. Teilnehmerdaten und Daten, die ausschließlich der Identifizierung einer Nutzerin oder eines Nutzers dienen — etwa Name oder Anschrift —, unterliegen niedrigeren Anforderungen und können auch ohne richterliche Vorabentscheidung angefordert werden. IP-bezogene Informationen sollten dabei nicht schematisch als bloße Bestandsdaten behandelt werden; ihre Einordnung hängt vom konkreten Verwendungszusammenhang und vom Zweck der Anordnung ab.

Verkehrs- und Inhaltsdaten — also Metadaten zu Kommunikationsvorgängen oder Nachrichteninhalte — unterliegen strengeren Anforderungen: Sie setzen grundsätzlich eine gerichtliche oder richterlich validierte Anordnung und regelmäßig eine Straftat voraus, die nach dem Recht des Anordnungsstaats mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren bedroht ist, soweit keine besondere Deliktskategorie eingreift.

Eine allgemeine Pflicht zur Vorratsspeicherung begründet die Verordnung nicht. Erfasst werden ausschließlich Daten, die der Diensteanbieter zum Zeitpunkt des Erhalts der Anordnung bereits gespeichert hat. Eine Echtzeitüberwachung — etwa die laufende Telekommunikationsüberwachung — ist von der Verordnung nicht vorgesehen.

Die zentrale Umsetzungspflicht: Benennung eines Adressaten

Die erste und sanktionsbewehrte Kernpflicht jedes betroffenen Unternehmens ist die Benennung eines Adressaten nach § 3 EBewMG bis zum 18. August 2026. Der Adressat ist die benannte Niederlassung oder der bestellte Vertreter, der für die Entgegennahme, Einhaltung und Vollstreckung der Anordnungen verantwortlich ist. Diensteanbieter, die am 18. Februar 2026 bereits in der EU tätig waren, müssen bis zum 18. August 2026 mindestens einen Adressaten benennen oder bestellen; wer später in den Markt eintritt, hat dafür sechs Monate ab Markteintritt Zeit.

Den Adressaten genügt es nicht zu benennen — er muss auch ausgestattet werden. Nach § 3 EBewMG hat der Diensteanbieter den Adressaten mit den Befugnissen und Ressourcen auszustatten, die zur fristgerechten Bearbeitung der Anordnungen erforderlich sind, und ihn an die technische Austauschinfrastruktur anzubinden. Zusätzlich besteht nach § 4 EBewMG eine Mitteilungspflicht: Die Kontaktdaten des Adressaten und jede Änderung sind dem Bundesamt für Justiz in Textform mitzuteilen.

Die Wahl des Adressaten-Mitgliedstaats ist keine reine Verwaltungsentscheidung, sondern eine Vorabweichenstellung für jedes spätere Verfahren. Sie bestimmt, welche Sprache akzeptiert wird, welche nationale Vollstreckungsbehörde zuständig ist und in welchem Rechtsraum Rechtsbehelfe gegen die Vollstreckung zu führen sind. Unternehmen mit Niederlassungen in mehreren Mitgliedstaaten sollten diese Entscheidung dokumentiert und unter Einbeziehung der späteren Verteidigungsfähigkeit treffen — nicht allein nach organisatorischer Bequemlichkeit.

Welche Sanktionen bei Verstößen drohen

Verstöße gegen die E-Evidence-Pflichten werden in Deutschland nach § 18 EBewMG als Ordnungswidrigkeit geahndet, mit nach Pflicht und Behörde gestaffelten Höchstmaßen. Das unionsrechtliche Dach setzt Art. 16 VO 2023/1543: Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende finanzielle Sanktionen vorsehen, die bei bestimmten Pflichtverstößen bis zu 2 % des im vorhergehenden Geschäftsjahr weltweit erzielten Jahresgesamtumsatzes des Diensteanbieters erreichen können. Das EBewMG differenziert diese Vorgabe nach Pflichtentypus und zuständiger Behörde.

Pflichtverstoß Zuständige Behörde Bußgeldhöchstmaß Norm
Benennungs-/Mitteilungspflicht (Adressat) Bundesamt für Justiz bis 500.000 Euro oder 2 % des Gesamtumsatzes § 18 EBewMG; §§ 3, 4 EBewMG
Pflichten aus konkreter Herausgabe-/Sicherungsanordnung Staatsanwaltschaft (Vollstreckungsbehörde) bis 100.000 Euro oder 2 % des Gesamtumsatzes § 18 EBewMG; Art. 16 VO 2023/1543

Der Gesamtumsatz kann dabei geschätzt werden. Welcher Tatbestand und welches Höchstmaß im Einzelfall greift, richtet sich nach der konkret verletzten Pflicht. Besonders praxisrelevant ist die in § 18 EBewMG angelegte gemeinsame Verantwortlichkeit von Diensteanbieter und Adressat für bestimmte Pflichtverstöße. Sie kann dazu führen, dass Sanktionsrisiken nicht allein dort verbleiben, wo der organisatorische Fehler entstanden ist — und zwar auch dann, wenn geeignete interne Verfahren im Verhältnis zwischen Diensteanbieter und Adressat fehlen. Im Einzelfall kommt es aber auf den jeweiligen Bußgeldtatbestand, die verletzte Pflicht und die konkrete organisatorische Verantwortlichkeit an. Die gemeinsame Verantwortlichkeit entfällt, soweit die pflichtwidrige Handlung oder Unterlassung in Deutschland einen Straftatbestand erfüllt.

Hinzu kommt eine verschärfende Zumessungsregel: § 17 Abs. 2 OWiG, der die fahrlässige Tat regelmäßig mit dem halben Höchstmaß belegt, ist in bestimmten Fällen des § 18 EBewMG nicht anwendbar — fahrlässige Verstöße können dann bis zum vollen Höchstmaß geahndet werden.

Die gemeinsame Verantwortlichkeit verschiebt das Risiko ins Innenverhältnis: Wer als Adressat benannt wird, kann für Fristversäumnisse mithaften, die organisatorisch beim Diensteanbieter liegen.

Typische Anordnungs-Szenarien aus Unternehmenssicht

In der Praxis treffen E-Evidence-Anordnungen Unternehmen in drei wiederkehrenden Konstellationen. Erstens als unbeteiligter Datenhalter: Eine ausländische Behörde ermittelt gegen einen Nutzer, und das Unternehmen ist nur Inhaber der Daten. Hier steht die fristgerechte, rechtlich geprüfte Bearbeitung im Vordergrund. Zweitens als mittelbar Betroffener: Die angeforderten Daten betreffen eigene Mitarbeiter oder Geschäftspartner, und die Herausgabe kann ein Verfahren gegen das eigene Haus vorbereiten. Drittens in der Gemengelage mit eigenen Compliance-Pflichten, etwa wenn datenschutzrechtliche Löschpflichten und die Sicherungsanordnung kollidieren.

Der Adressat muss keine vollständige Rechtmäßigkeitsprüfung wie ein Gericht vornehmen. Er ist aber auch nicht zur blinden Befolgung verpflichtet. Enthält die Bescheinigung offensichtliche Fehler, fehlen für die Ausführung notwendige Angaben oder kommt ein ausdrücklich geregelter Nichtausführungsgrund in Betracht, sind die in Art. 10 und 11 VO 2023/1543 vorgesehenen Verfahrensmechanismen zu nutzen. Dazu gehören insbesondere Rückfragen, Mitteilungen über Ausführungshindernisse und — in den geregelten Fällen — die Ablehnung oder Nichtausführung.

In der Fachdebatte wird darauf hingewiesen, dass die deutsche Rechtslage zur Sicherung elektronischer Daten nicht in jeder Konstellation deckungsgleich mit der Europäischen Sicherungsanordnung ist. Hintergrund ist Art. 6 Abs. 3 VO 2023/1543, wonach eine Sicherungsanordnung nur erlassen werden darf, wenn eine vergleichbare Maßnahme auch in einem vergleichbaren nationalen Fall zulässig wäre.

Verteidigungsstrategien und Verfahrenshebel

Die strafverfahrensrechtlich wichtigste Frage stellt sich häufig erst nach der Herausgabe: Sind die Daten im späteren Verfahren verwertbar? Der Europäische Gerichtshof hat mit Urteil vom 30. April 2024 (EuGH C-670/22, M.N.) im Kontext grenzüberschreitend erlangter EncroChat-Daten entschieden, dass sich Zulässigkeit und Würdigung solcher Beweise grundsätzlich nach dem nationalen Recht des Anordnungsstaats richten. Zugleich bleiben das Recht auf ein faires Verfahren und die Möglichkeit wirksamer Stellungnahme zentrale Grenzen. Der Bundesgerichtshof hat diese Linie im EncroChat-Kontext mit Urteil vom 30. Januar 2025 (BGH 5 StR 528/24) fortgeführt; das Bundesverfassungsgericht hat die Verwertbarkeit übermittelter Daten mit Beschluss vom 1. November 2024 (BVerfG 2 BvR 684/22) ebenfalls als Frage des deutschen Rechts behandelt. Eine spezifische höchstrichterliche Rechtsprechung zur E-Evidence-Verordnung selbst steht dagegen noch aus.

Daraus folgt der zentrale Verteidigungsansatz: Die Integrität und Vollständigkeit der übermittelten Daten ist im Hauptverfahren konsequent zu hinterfragen. Der EuGH hat den Zeitpunkt der Integritätsprüfung an den tatsächlichen Datenbesitz der zuständigen Behörden geknüpft. Kann sich der Beschuldigte zu Herkunft, Integrität oder Aussagegehalt der Daten nicht wirksam äußern, ist dies als Fair-Trial-Problem geltend zu machen und kann im Einzelfall zu einem Verwertungsverbot oder zu Einschränkungen der Beweiswürdigung führen.

Ein zweiter Hebel liegt im Schutz privilegierter Kommunikation. Anordnungen, die auf Daten mit Bezug zu Berufsgeheimnisträgern zielen, berühren insbesondere § 97 StPO und — bei Verteidigungsunterlagen — § 148 StPO. Das Landgericht Nürnberg-Fürth hat mit Beschluss vom 22. November 2024 (LG Nürnberg-Fürth 18 Qs 17/24) betont, dass der Beschlagnahmeschutz nach § 97 StPO nicht pauschal an die Berufsstellung, sondern an den konkreten Mandats- und Beschuldigtenbezug anknüpft.

Ein dritter Hebel betrifft das Sanktionsverfahren selbst. Wendet das Bundesamt für Justiz oder die Staatsanwaltschaft ein Bußgeld an, gelten die Verfahrensvorschriften des Gesetzes über Ordnungswidrigkeiten. Gegen die Vollstreckungsentscheidung steht nach Art. 16 Abs. 10 VO 2023/1543 ein wirksamer Rechtsbehelf offen; § 18 EBewMG verweist für Rechtsbehelfe im Vollstreckungsverfahren auf die einschlägigen Vorschriften des OWiG.

Praktisches Vorgehen vor und nach einer Anordnung

Vor dem 18. August 2026 stehen für die Risikoanalyse drei Fragen im Vordergrund. Erstens der Anwendungsbereich: Welche Dienste, Systeme und Datenbestände fallen unter die Verordnung? Zweitens die Adressatenentscheidung: Welche juristische Person wird in welchem Mitgliedstaat benannt, und ist sie mit Befugnissen, Ressourcen und technischer Anbindung ausgestattet? Drittens die Mitteilung an das Bundesamt für Justiz nebst Festlegung der akzeptierten Amtssprachen.

Geht eine Anordnung ein, entscheidet die erste Reaktion über die Verteidigungsposition. Die kurze Frist — im Regelfall 10 Tage, im Eilfall 8 Stunden für die Herausgabe, 60 Tage für die Sicherung — zwingt zu vorab definierten Abläufen zwischen Legal, Datenschutz und IT. Eingang, Echtheits- und Vollständigkeitsprüfung, die Identifikation offensichtlicher Mängel und Nichtausführungsgründe sowie die Dokumentation jeder Entscheidung müssen prozessual hinterlegt sein. Wo die Anordnung eigene Mitarbeiter, Organe oder das Unternehmen selbst belastet, ist die strafverfahrensrechtliche Einordnung vor der Herausgabe unverzichtbar — denn nach der Übermittlung lässt sich der Datenfluss faktisch kaum rückgängig machen; die Verteidigung verlagert sich dann auf Verwertbarkeit, Integrität, Vollständigkeit und Beweiswürdigung.

Häufige Fragen

Ab wann gilt die E-Evidence-Verordnung für Unternehmen?
Die E-Evidence-Verordnung (EU) 2023/1543 ist ab dem 18. August 2026 unmittelbar in jedem EU-Mitgliedstaat anwendbar. Ab diesem Zeitpunkt können zuständige Anordnungsbehörden aus am E-Evidence-Mechanismus teilnehmenden Mitgliedstaaten Diensteanbieter direkt zur Herausgabe oder Sicherung elektronischer Beweismittel verpflichten. Die deutsche Durchführung erfolgt durch das EBewMG (BGBl. 2026 I Nr. 64); die Pflicht zur Benennung eines Adressaten besteht ebenfalls bis zum 18. August 2026.
Welche Unternehmen sind von der E-Evidence-Verordnung betroffen?
Betroffen sind alle Anbieter elektronischer Kommunikationsdienste und Dienste der Informationsgesellschaft, die ihre Leistungen Nutzern in der EU anbieten — unabhängig vom Unternehmenssitz. Dazu zählen Cloud- und Hosting-Anbieter, SaaS-Unternehmen, Messenger, E-Mail-Dienste, Plattformen und Online-Marktplätze. Das Bundesministerium der Justiz schätzt den betroffenen Kreis auf rund 9.000 Unternehmen mit Anknüpfungspunkt zu Deutschland.
Welche Bußgelder drohen bei Verstößen gegen die E-Evidence-Pflichten?
In Deutschland ahndet § 18 EBewMG Verstöße als Ordnungswidrigkeit. Bei Verstößen gegen die Benennungs- oder Mitteilungspflicht verhängt das Bundesamt für Justiz Bußgelder bis zu 500.000 Euro oder 2 % des weltweiten Jahresumsatzes; bei Verstößen gegen Pflichten aus einer konkreten Anordnung verhängt die Staatsanwaltschaft Bußgelder bis zu 100.000 Euro oder 2 % des Gesamtumsatzes. Welches Höchstmaß greift, richtet sich nach der konkret verletzten Pflicht. Für bestimmte Pflichtverstöße sieht § 18 EBewMG eine gemeinsame Verantwortlichkeit von Diensteanbieter und Adressat vor.
Muss ein Unternehmen jede E-Evidence-Anordnung befolgen?
Nein. Nach Art. 10 und 11 VO 2023/1543 kann der Adressat eine Anordnung zurückweisen, wenn sie unvollständig ist, offensichtliche Fehler enthält oder keine zur Ausführung ausreichenden Informationen liefert. Daneben bestehen Ablehnungsgründe etwa bei Immunitäten und Vorrechten, offenkundigen Grundrechtsverstößen oder faktischer Unmöglichkeit. Eine allgemeine materielle Rechtmäßigkeitsprüfung schuldet der Adressat allerdings nicht; offensichtliche Mängel muss er aber erkennen.
Sind über E-Evidence erlangte Daten im Strafverfahren verwertbar?
Die Verwertbarkeit grenzüberschreitend erlangter Beweise richtet sich nach der Rechtsprechung des EuGH (Urteil vom 30. April 2024, C-670/22, zu EncroChat) grundsätzlich nach dem nationalen Recht des Anordnungsstaats. Der BGH hat diese Linie mit Urteil vom 30. Januar 2025 (5 StR 528/24) fortgeführt; eine spezifische Rechtsprechung zur E-Evidence-Verordnung selbst steht noch aus. Ein automatisches Verwertungsverbot besteht nicht. Kann sich der Beschuldigte zu Herkunft, Integrität oder Aussagegehalt der Daten nicht wirksam äußern, ist dies als Fair-Trial-Problem geltend zu machen und kann im Einzelfall zu einem Verwertungsverbot oder zu Einschränkungen der Beweiswürdigung führen.
Wer ist der „Adressat“ im Sinne des EBewMG?
Der Adressat ist die benannte Niederlassung oder der bestellte Vertreter eines Diensteanbieters, der für die Entgegennahme, Einhaltung und Vollstreckung von Herausgabe- und Sicherungsanordnungen verantwortlich ist (§ 3 EBewMG, Art. 7 VO 2023/1543). Diensteanbieter mit Anknüpfung zu Deutschland müssen mindestens einen Adressaten benennen oder bestellen und dessen Kontaktdaten dem Bundesamt für Justiz mitteilen. Der Adressat muss mit den nötigen Befugnissen, Ressourcen und der technischen Anbindung ausgestattet sein.

Einordnung und Ausblick

Die E-Evidence-Verordnung verlagert einen Teil der strafprozessualen Zugriffslast in die Organisation privater Diensteanbieter und verbindet diese Last mit einem erheblichen Sanktionsregime. Der Anwendungsbeginn am 18. August 2026 markiert keinen Endpunkt, sondern den Beginn einer Phase praktischer Bewährung: Die Umsetzung in den Mitgliedstaaten wird sich erst einspielen, die deutsche Anwendungspraxis zu Sicherungsanordnungen bleibt aufmerksam zu beobachten, und das Verhältnis zu datenschutzrechtlichen Lösch- und Informationspflichten wird in der Praxis besonders sorgfältig zu prüfen sein.

Für betroffene Unternehmen bleibt die doppelte Aufgabe, Sanktionsrisiken organisatorisch zu beherrschen und zugleich die strafprozessualen Folgen jeder Herausgabe im Blick zu behalten — denn nach der Übermittlung lässt sich der Datenfluss faktisch kaum rückgängig machen; die Verteidigung verlagert sich dann auf Verwertbarkeit, Integrität, Vollständigkeit und Beweiswürdigung.

Quellen

  • Verordnung (EU) 2023/1543 vom 12. Juli 2023 (E-Evidence-Verordnung), ABl. L 191 vom 28.7.2023, S. 118 — EUR-Lex, CELEX 32023R1543.
  • Richtlinie (EU) 2023/1544 vom 12. Juli 2023 (Vertreterrichtlinie) — EUR-Lex, CELEX 32023L1544.
  • Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetz (EBewMG), Art. 1 G. v. 10.03.2026, BGBl. 2026 I Nr. 64 — gesetze-im-internet.de.
  • Bundesamt für Justiz, E-Evidence — bundesjustizamt.de.
  • EuGH, Urt. v. 30.04.2024 – C-670/22 (M.N.), NJW 2024, 1723.
  • BGH, Urt. v. 30.01.2025 – 5 StR 528/24.
  • BVerfG, Beschl. v. 01.11.2024 – 2 BvR 684/22, NStZ-RR 2025, 25.
  • LG Nürnberg-Fürth, Beschl. v. 22.11.2024 – 18 Qs 17/24.

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Criminal Compliance Briefing

Einmal im Quartal: ausgewählte Entwicklungen im Wirtschaftsstrafrecht, in der Criminal Compliance und bei internen Untersuchungen — eingeordnet aus Verteidigerperspektive.

Erscheint quartalsweise.  Jederzeit abbestellbar.  Datenschutz.

Zum Inhalt springen